ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

Microsoft ปล่อยเครื่องมือ Sysmon เวอร์ชั่น 13 เพิ่มความสามารถในการตรวจจับการโจมตีที่พยายามแทรกคำสั่งอันตรายลงไปในโปรเซสปกติที่มีการทำงานอยู่บนเครื่อง (Tampering) ไม่ว่าจะเป็นการโจมตีด้วยเทคนิค Process Hollowing หรือ Process Herpaderping

การแทรกคำสั่งอันตรายลงไปในโปรเซสบนเครื่อง จะช่วยให้สามารถหลบหลีกการตรวจจับจากอุปกรณ์ความปลอดภัยบนเครื่องได้ เนื่องจากหากไม่มีการตรวจสอบเชิงลึก จะเสมือนว่าเป็นการทำงานตามปกติของโปรเซสนั้นๆ แต่ใน Sysmon ที่ปล่อยออกมาใหม่นี้จะเพิ่มการตรวจจับการโจมตีในลักษณะนี้เพิ่มขึ้นมา โดยผู้ดูแลระบบจะต้องทำการเพิ่ม “ProcessTampering” ลงไปในไฟล์ configuration ของ Sysmon หากตรวจพบจะมีการเขียน event log ที่ Applications and Services Logs/Microsoft/Windows/Sysmon/Operational โดยใช้ “Event 25 - Process Tampering”

อย่างไรก็ตามจากแหล่งข่าวได้ระบุว่า จากการทดสอบพบว่าจะมีการตรวจจับที่ผิดพลาด โดยจับการทำงานตามปกติของโปรแกรม Web Browser ไม่ว่าจะเป็น Chrome, Opera, Firefox, Fiddler, Microsoft Edge รวมทั้งโปรแกรมสำหรับติดตั้งอื่นๆ อีกหลายตัว ซึ่งไม่ใช่การโจมตี นอกจากนั้นยังได้มีการทดสอบกับมัลแวร์ TrickBot และ BazarLoader ตัวล่าสุด แต่กลับไม่พบข้อมูลการตรวจจับ

ที่มา: bleepingcomputer

Microsoft ประกาศออกแพตช์ความปลอดภัยประจำเดือนมกราคม 2021 หรือ Microsoft Patch Tuesday January 2021 โดยในเดือนมกราคม 2021นี้ Microsoft ได้ทำการแก้ไขช่องโหว่จำนวน 83 รายการ ซึ่งมีช่องโหว่จำนวน 10 รายการที่จัดว่าเป็นช่องโหว่ระดับ Critical และช่องโหว่จำนวน 73 รายการเป็นช่องโหว่ระดับ Important

สำหรับช่องโหว่ที่มีความสำคัญและได้รับแก้ไขในเดือนนี้คือ CVE-2021-1647 เป็นช่องโหว่ Zero-day ใน Microsoft Defender โดยช่องโหว่จะทำให้ผู้โจตีสามารถเรียกใช้โค้ดได้จากระยะไกล ซึ่งช่องโหว่ Zero-day นี้ได้รับการแก้ไขแล้วใน Microsoft Malware Protection Engine เวอร์ชัน 1.1.17700.4

ช่องโหว่ที่น่าสนใจอีกช่องโหว่คือ CVE-2021-1648 เป็นช่องโหว่การยกระดับสิทธ์ใน (Elevation of Privilege) ใน splwow64 ซึ่งได้เผยแพร่ต่อสาธารณะแล้วเมื่อวันที่ 15 ธันวาคมที่ผ่านมา โดยโปรเจกต์ Zero-Day Initiative ของ Trend Micro

ทั้งนี้ผู้ใช้ควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของผุ้ประสงค์ร้าย สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติมของช่องโหว่ที่ได้รับการแก้ไขสามารถดูรายละเอียดได้จากแหล่งที่มา

ที่มา: zdnet | bleepingcomputer

 

David Wells นักวิจัยมัลแวร์จาก Tenable ได้ค้นพบช่องโหว่ Zero-day ใน PsExec หรือเครื่องมือการจัดการสำหรับผู้ดูแลระบบโดยการสั่งการด้วยคำสั่งต่างๆ ผ่านระบบเน็ตเวิร์คจากระยะไกล ซึ่งช่องโหว่ที่ถูกค้นพบนั้นถูกเรียกว่า pipe hijacking โดยอาศัยการสร้าง pipe ที่ถูกใช้ในการติดต่อสารโดย PsExec เอาไว้ก่อนแล้วด้วยสิทธิ์ที่ต่ำกว่า เมื่อเซอร์วิสของ PsExec มาใช้งานจริงก็จะทำการใช้งาน pipe ที่มีอยู่และจะไม่มีการแก้ไขสิทธิ์เพื่อให้เกิดการใช้งานอย่างปลอดภัย ส่งผลให้ผู้โจมตีซึ่งสร้าง pipe ไว้รอจะสามารถใช้ pipe ดังกล่าวซึ่งจะได้สิทธิ์เป็น Local system และกลายเป็นช่องทางในการยกระดับสิทธิ์ขึ้นมาได้

Wells กล่าวอีกว่าช่องโหว่ Zero-day นี้ถูกพบใน PsExec หลายเวอร์ชันตั้งแต่ v1.72 ที่อยู่ใน Windows XP จนถึงเวอร์ชัน v2.2 ที่อยู่ภายใน Windows 10 ซึ่งหลังจากค้นพบช่องโหว่ Wells ได้รายงานต่อ Microsoft ถึงปัญหาแล้ว โดยเมื่อวันที่ 9 ธันวาคม 2020 หลังจากรายงานช่องโหว่ไปแล้ว 90 วัน Microsoft ไม่สามารถแก้ไขข้อบกพร่องได้ Wells จึงได้ทำการเปิดเผยต่อสาธารณะ

Mitja Kolsek ซีอีโอจากบริษัท ACROS Security ได้ออกมากล่าวถึงการแก้ไขช่องโหว่ดังกล่าว ซึ่งทางบริษัทได้ออกไมโครแพทช์ฟรีเพื่อแก้ไขช่องโหว่การเพิ่มสิทธิพิเศษเฉพาะที่ (Local Privilege Escalation - LPE) ในเครื่องมือการจัดการ Windows PsExec ในเวอร์ชัน 32 บิตและ 64 บิตของ Microsoft ซึ่งพร้อมใช้งานแล้วผ่านแพลตฟอร์ม 0patch

ทั้งนี้ผู้ใช้ควรทำการติดตามการอัปเดตแพตช์การแก้ไขช่องโหว่จาก Microsoft เมื่อมีการแก้ไขช่องโหว่ควรรับทำการอัปเดตแพตช์อย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ สำหรับผู้ที่ต้องอัปเดตแพตช์ผ่านแพลตฟอร์ม 0patch สามารถเข้าไปดูรายละเอียดได้ที่: https://blog.

Microsoft แจ้งเตือนผลการตรวจสอบภายในจากกรณีการโจมตี SolarWinds เชื่อซอร์สโค้ดถูกเข้าถึง ไม่มีผลกระทบเพิ่มเติม

Microsoft ออกประกาศผลการตรวจสอบระบบภายในของตนเองหลังจากมีการตรวจพบว่าตนอาจได้รับผลกระทบจากกรณีการโจมตี SolarWinds ผลการตรวจสอบเบื้องต้นไม่พบการเข้าถึงระบบ Production และข้อมูลลูกค้า และไม่พบการใช้ระบบของ Microsoft ในการโจมตีบุคคลอื่น

อย่างไรก็ตาม Microsoft ตรวจพบพฤติกรรมของบัญชีภายในที่ผิดปกติ โดยพบว่าบัญชีผู้ใช้ดังกล่าวนั้นถูกใช้เพื่อเข้าถึงซอร์สโค้ดภายในหลายโครงการ อย่างไรก็ตามบัญชีดังกล่าวไม่ได้รับสิทธิ์ในการแก้ไขซอร์สโค้ดใดๆ และการตรวจสอบก็ไม่พบการเปลี่ยนแปลงของซอร์สโค้ดด้วย ผลกระทบที่อาจเกิดขึ้นจึงอยู่ในระดับที่ต่ำ

สำหรับผู้อ่านที่ต้องการติดตามข้อมูลเพิ่มเติมเกี่ยวกับสถานการณ์และรายละเอียดการโจมตี SolarWinds สามารถอ่านจากบทวิเคราะห์โดยทีม Intelligent Response ได้ที่ https://www.

 

นักวิจัยค้นพบช่องโหว่ในแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986

Maddie Stone นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้ออกมาเปิดเผยถึงการค้นพบว่าแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986 ในเดือนมิถุนายนที่ผ่านมายังไม่ได้แก้ไขช่องโหว่อย่างสมบูรณ์และยังสามารถใช้ประโยชน์จากช่องโหว่ผ่านการโจมตีได้ โดยการปรับเปลี่ยนออฟเซ็ตของ pointer บางอย่างที่จะทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในระดับเคอร์เนลบนเครื่องที่ถูกบุกรุกได้

ช่องโหว่ได้ถูกระบุรหัสใหม่คือ CVE-2020-17008 โดยช่องโหว่เกิดจากข้อผิดพลาดใน arbitrary pointer dereference ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าควบคุม “src” และ “dest” pointer ที่ถูกส่งไปยังฟังก์ชั่น memcpy และส่งผลให้เกิดเงื่อนไขที่ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้

ทั้งนี้ Microsoft ได้รับรายงานเกี่ยวกับช่องโหว่แล้วเมื่อวันที่ 24 กันยายนที่ผ่านมา โดย Microsoft มีเวลา 90 วันในการแก้ไขช่องโหว่ก่อนที่ทาง Google Project Zero จะเปิดเผยช่องโหว่สู่สาธารณะ

ที่มา: bleepingcomputer

Microsoft ได้เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคม หรือ Microsoft Patch Tuesday December 2020 โดยในเดือนธันวาคมนี้ Microsoft ได้ทำการแก้ไขช่องโหว่เป็นจำนวน 58 รายการในผลิตภัณฑ์ และบริการมากกว่า 10 รายกายของ Microsoft

แพตช์ที่ได้รับการแก้ไขจำนวน 22 รายการถูกจัดประเภทเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) และส่งผลกระทบต่อผลิตภัณฑ์ของ Microsoft เช่น Exchange Server (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132 และ CVE-2020-17142 ) และ SharePoint (CVE-2020-17118 และ CVE-2020-17121)

ช่องโหว่ที่สำคัญอีกประการหนึ่งที่ได้รับการแก้ไขของเดือนธันวาคมนี้คือ CVE-2020-17095 ซึ่งเป็นช่องโหว่ของ Hyper-V ที่อนุญาตให้ผู้โจมตีสามารถเพิ่มสิทธิ์จากการเรียกใช้โค้ดใน Guest ของ Hyper-V และจะนำสู่การเรียกใช้โค้ดบนโฮสต์ Hyper-V โดยการส่งผ่านแพ็กเก็ต vSMB ที่ไม่ถูกต้อง

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: zdnet

จากการแจ้งเตือนของสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Agency - CISA) ที่ได้ออกแจ้งเตือนเกี่ยวกับ Supply chain attack ที่เกิดขึ้นกับซอฟแวร์ SolarWinds Orion และผลกระทบต่อหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ

โดยรายงานของสำนักข่าวรอยเตอร์ที่ได้รายงานถึงการบุกรุกเข้าไปในผลิตภัณฑ์ของ Microsoft ซึ่ง Microsoft ออกแถลงการณ์ยอมรับว่ามีการตรวจพบโทรจันในซอฟแวร์ SolarWinds Orion ที่อยู่ภายในเครือข่ายและ Microsoft ได้ทำการแก้ไขแล้ว ซึ่งหลังจากการแก้ไข Microsoft ไม่พบหลักฐานการเข้าถึงบริการการผลิตหรือข้อมูลลูกค้า ณ ตอนนี้ Microsoft ได้ถูกเข้าร่วมอยู่ในลิสต์ที่ถูกแฮกผ่านการอัปเดตแบ็คดอร์ผ่านซอฟแวร์ SolarWinds Orion โดยที่ก่อนหน้านี้ได้มีหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ ถูกตกเป็นเหยื่อแล้ว เช่น กระทรวงการคลังสหรัฐฯ, โทรคมนาคมและสารสนเทศแห่งชาติของกระทรวงพาณิชย์สหรัฐ (NTIA), สถาบันสุขภาพแห่งชาติของกรมอนามัย (NIH), หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS), กระทรวงการต่างประเทศสหรัฐฯ, สถาบันแห่งชาติและบริหารจัดการความปลอดภัยนิวเคลียร์ (NNSA), กระทรวงพลังงานสหรัฐ (DOE)

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ความปลอดภัยของซอฟแวร์ SolarWinds Orion ให้เป็นเวอร์ชัน 2020.2.1 HF 2 เป็นการด่วนเพื่อป้องกันกลุ่มผู้ประสงค์ร้ายใช้ประโยชน์จากแบ็คดอร์ทำการโจมตีระบบ

ที่มา: zdnet

Microsoft ออกรายงานถึงผลการติดตามกลุ่มแฮกเกอร์ Bismuth หรืออีกชื่อคือ APT32 และ OceanLotus ที่มีการเชื่อมโยงกับรัฐบาลเวียดนามและปัจจุบันกำลังปฏิบัติการแคมเปญด้วยการติดตั้งมัลแวร์ Cryptominer ควบคู่ไปกับการปฏิบัติจารกรรมทางไซเบอร์

Microsoft กล่าวว่ากลุ่มแฮกเกอร์ Bismuth เป็นที่รู้จักมาตั้งแต่ปี 2012 ซึ่งกลยุทธ์ที่ใช้ในการปฏิบัติการแคมเปญของกลุ่มนี้มีความซับซ้อน โดยเป้าหมายของกลุ่มแฮกเกอร์มีทั้งในประเทศและต่างประเทศเวียดนาม ซึ่งมีวัตถุประสงค์เพื่อรวบรวมข้อมูลเพื่อช่วยให้รัฐบาลจัดการกับการตัดสินใจทางการเมืองเศรษฐกิจและนโยบายต่างประเทศ

อย่างไรก็ดี Microsoft ได้เพิ่งสังเกตเห็นการเปลี่ยนแปลงกลยุทธ์ของกลุ่มแฮกเกอร์ตั้งแต่เดือนกรกฎาคมถึงเดือนสิงหาคม 2020 ที่ผ่านมา โดยกลุ่มเเฮกเกอร์ได้ใช้มัลแวร์ Cryptominer ในการโจมตีที่ถูกกำหนดเป้าหมายไปยังภาคเอกชนและสถาบันของรัฐในประเทศฝรั่งเศสและเวียดนาม ทั้งนี้ Microsoft ได้มีสองทฤษฎีในการเปลื่ยนเเปลงกลยุทธ์ของกลุ่มแฮกเกอร์ดังนี้

ประการแรกคือกลุ่มแฮกเกอร์กำลังใช้มัลแวร์ Cryptominer ในการปฏิบัติการเพื่ออำพรางการโจมตีบางส่วนจากผู้ที่ตกเป็นเหยื่อและหลอกให้ผู้ที่ตกเป็นเหยื่อเชื่อว่าการโจมตีเป็นการบุกรุกแบบสุ่มที่มีลำดับความสำคัญต่ำ
ประการที่สองคือกลุ่มแฮกเกอร์กำลังทดลองกลยุทธ์และวิธีใหม่ๆ ในการสร้างรายได้จากระบบที่ทำการบุกรุก ซึ่งส่วนหนึ่งของการปฏิบัติการที่เน้นการจารกรรมทางไซเบอร์ตามปกติ

ทั้งนี้ทฤษฎีที่สองนี้ยังสอดคล้องกับแนวโน้มทั่วไปที่เห็นในการปฏิบัติการที่เน้นการจารกรรมทางไซเบอร์ตามปกติเช่นเดียวกับกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน, รัสเซีย, อิหร่านและเกาหลีเหนือ

ที่มา:

zdnet.

ไมโครซอฟต์ประกาศปล่อย Public preview ของโซลูชัน EDR สำหรับลินุกซ์เป็นส่วนหนึ่งของบริการ Microsoft Defender for Endpoint ภายใต้ Microsoft Defender Advanced Threat Protection (ATP) เมื่อกลางสัปดาห์ที่ผ่านมา

ฟีเจอร์หลักของ EDR แตกต่างกับ Antivirus โดยทั่วไปคือการให้ข้อมูลที่เป็นผลลัพธ์ของการ Detection แก่ผู้ใช้งานและเปิดช่องทางให้ผู้ใช้งานสามารถนำข้อมูลที่ประกอบกันเป็น Detection มาใช้ในลักษณะอื่นเพิ่มเติมได้ เช่น การระบุหาภัยคุกคามในลักษณะที่พิเศษที่มีอยู่ในระบบเป็นจำนวนมาก โซลูชันอย่าง EDR ยังมีฟีเจอร์สำคัญในการช่วยตอบสนองภัยคุกคามในลักษณะทั้ง containment, eradication และ recovery

โซลูชัน EDR สำหรับลินุกซ์นั้นรองรับดิสโทรลินุกซ์แบบเซิร์ฟเวอร์ได้แก่ RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS or higher LTS, SLES 12+, Debian 9+, และ Oracle Linux 7.2. ผู้ใช้งานที่สนใจทดสอบโซลูชันสามารถดูข้อมูลเพิ่มเติมได้จาก https://docs.